Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01382

Опубликовано: 10 дек. 2017
Источник: fstec
CVSS3: 9.8
CVSS2: 7.5
EPSS Высокий

Описание

Уязвимость метода readValue класса ObjectMapper библиотеки Jackson-databind связана с некорректной проверкой входных данных до попытки их десериализации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Вендор

Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Red Hat Inc.
FasterXML, LLC

Наименование ПО

Debian GNU/Linux
Astra Linux Common Edition
OpenShift Container Platform
JBoss Enterprise Application Platform
Jboss Operations Network
Jboss Fuse
Red Hat Software Collections
Jackson-databind

Версия ПО

9 (Debian GNU/Linux)
2.12 «Орёл» (Astra Linux Common Edition)
4.1 (OpenShift Container Platform)
3.11 (OpenShift Container Platform)
6.4 (JBoss Enterprise Application Platform)
3.3 (Jboss Operations Network)
7 (Jboss Fuse)
10 (Debian GNU/Linux)
- (Red Hat Software Collections)
7 (JBoss Enterprise Application Platform)
7.1 for RHEL 6 (JBoss Enterprise Application Platform)
6 (JBoss Enterprise Application Platform)
6.4 for RHEL 5 (JBoss Enterprise Application Platform)
6.4 for RHEL 6 (JBoss Enterprise Application Platform)
от 2.6.0 до 2.6.7.3 (Jackson-databind)
от 2.7.0 до 2.7.9.2 (Jackson-databind)
от 2.8.0 до 2.8.11 (Jackson-databind)
от 2.9.0 до 2.9.4 (Jackson-databind)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Сообщество свободного программного обеспечения Debian GNU/Linux 10

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Jackson-databind:
Обновление программного обеспечения до 2.12.1-1 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета jackson-databind) до 2.9.8-3+deb10u1 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета jackson-databind) до 2.9.8-3+deb10u1 или более поздней версии
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2018:0116
https://access.redhat.com/errata/RHSA-2018:0342
https://access.redhat.com/errata/RHSA-2018:0478
https://access.redhat.com/errata/RHSA-2018:0479
https://access.redhat.com/errata/RHSA-2018:0480
https://access.redhat.com/errata/RHSA-2018:0481
https://access.redhat.com/errata/RHSA-2018:1447
https://access.redhat.com/errata/RHSA-2018:1448
https://access.redhat.com/errata/RHSA-2018:1449
https://access.redhat.com/errata/RHSA-2018:1450
https://access.redhat.com/errata/RHSA-2018:1451
https://access.redhat.com/errata/RHSA-2018:2930
https://access.redhat.com/errata/RHSA-2019:1782
https://access.redhat.com/errata/RHSA-2019:1797
https://access.redhat.com/errata/RHSA-2019:2858
https://access.redhat.com/errata/RHSA-2019:3149
https://access.redhat.com/errata/RHSA-2019:3892

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.79787
Высокий

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-17485

CVSS3: 9.8
ubuntu
около 8 лет назад

FasterXML jackson-databind through 2.8.10 and 2.9.x through 2.9.3 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 deserialization flaw. This is exploitable by sending maliciously crafted JSON input to the readValue method of the ObjectMapper, bypassing a blacklist that is ineffective if the Spring libraries are available in the classpath.

redhat логотип

CVE-2017-17485

CVSS3: 8.1
redhat
около 8 лет назад

FasterXML jackson-databind through 2.8.10 and 2.9.x through 2.9.3 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 deserialization flaw. This is exploitable by sending maliciously crafted JSON input to the readValue method of the ObjectMapper, bypassing a blacklist that is ineffective if the Spring libraries are available in the classpath.

nvd логотип

CVE-2017-17485

CVSS3: 9.8
nvd
около 8 лет назад

FasterXML jackson-databind through 2.8.10 and 2.9.x through 2.9.3 allows unauthenticated remote code execution because of an incomplete fix for the CVE-2017-7525 deserialization flaw. This is exploitable by sending maliciously crafted JSON input to the readValue method of the ObjectMapper, bypassing a blacklist that is ineffective if the Spring libraries are available in the classpath.

debian логотип

CVE-2017-17485

CVSS3: 9.8
debian
около 8 лет назад

FasterXML jackson-databind through 2.8.10 and 2.9.x through 2.9.3 allo ...

github логотип

GHSA-rfx6-vp9g-rh7v

CVSS3: 9.8
github
больше 7 лет назад

jackson-databind vulnerable to remote code execution due to incorrect deserialization and blocklist bypass

EPSS

Процентиль: 99%
0.79787
Высокий

9.8 Critical

CVSS3

7.5 High

CVSS2